近年来,随着汽车智能化和互联化的发展,车载蓝牙系统成为实现信息娱乐、导航和通信的重要接口。然而,这些依赖蓝牙通信的系统同样暴露在安全威胁之下。2025年,网络安全研究人员发现了名为PerfektBlue的蓝牙漏洞,涉及OpenSynergy的BlueSDK蓝牙协议栈,已影响全球数百万辆汽车。此安全缺陷使得攻击者在一定条件下能够利用蓝牙连接实现远程代码执行,进而威胁车辆安全,带来重大隐患。 PerfektBlue漏洞涉及四处关键的技术缺陷,分别影响AVRCP服务中的Use-After-Free错误、L2CAP通道远端CID验证不当、以及RFCOMM协议栈中函数调用与终止逻辑错误。这些漏洞尽管单独威胁较低,但通过巧妙组合成为一条完整的攻击链。
攻击者只需在车辆蓝牙连接范围内,便可通过一次简单的配对操作触发漏洞,远程执行恶意代码,接管车载信息娱乐系统。 虽然许多汽车厂商将信息娱乐系统视为相对独立的子系统,避免其直接影响发动机和制动等关键功能,但PerfektBlue攻击表明这种隔离往往依赖厂商内部网络结构设计。一旦内部分区和访问控制不足,攻击者可以通过信息娱乐系统实现横向渗透,影响更为敏感的控制模块,诸如发动机管理、电机控制和驾驶辅助系统等。 受影响的汽车品牌包括奔驰、大众和斯柯达等知名厂商,此外还有制造商未对外公开。受影响车辆的蓝牙协议栈均采用OpenSynergy BlueSDK解决方案,该协议栈虽为多车厂所选用,却未能充分防护上述安全漏洞。 攻击的实现条件包括:攻击者需要物理接近车辆(5-7米范围内),车辆点火状态开启,信息娱乐系统处于蓝牙配对模式,并且需要用户在车辆屏幕上授权蓝牙连接。
在某些车型上,蓝牙配对流程可能无需用户进一步确认,增加了被攻击的风险。 攻击成功后,攻击者能够远程获取车辆GPS位置信息,录制车内音频,访问联系人信息,甚至随时控制车内关键软件功能。更危险的是,该漏洞可能被用作攻击载体,发起后续对车辆内部网络的渗透,造成发动机、方向盘、制动系统等关键部件失控,严重威胁驾驶安全。 针对PerfektBlue漏洞,相关安全团队于2024年5月完成了负责任披露,随后厂商于2024年9月启动了安全补丁发布行动。提醒广大车主及时关注车辆制造商发布的更新通知,及时进行固件升级维护,以降低被攻击风险。 大众汽车回应称,所发现的蓝牙漏洞仅限于信息娱乐系统,不影响车辆驾驶安全和核心控制单元的完整性。
厂商指出现阶段并无证据显示该漏洞被实际利用对路面车辆进行攻击,同时多重条件限制降低了漏洞的现实威胁等级。此外,大众还强调,安全更新将通过官方渠道推送,建议车主积极配合升级或到授权服务中心完成必要维护。 除了PerfektBlue,业内安全研究人员今年还针对日产Leaf电动车曝光了一系列更深层次的安全隐患,展现了蓝牙及车载网络协议漏洞如何成为攻击车辆核心控制系统的入口。通过建立DNS命令与控制频道,攻击者能够实现对车辆持续隐秘的远程控制,甚至直接干预CAN总线通信,操控门锁、雨刷、甚至方向盘等基本车辆功能。 CAN总线作为车内电子控制单元之间主要的信息传输总线,其安全防护同样不容忽视。攻击者若能借助物理设备接入CAN网络,便可伪造可信ECU的信息,实施门锁远程解锁、发动机启动等非法操作。
近期安防团队曾将老款雷诺Clio通过通信劫持改造成虚拟游戏控制器,展示了车辆网络被恶意操控的技术可能性与现实隐患。 面对日益复杂的车载网络安全威胁,汽车制造商需在系统设计层面加强网络分区和访问控制,提升蓝牙堆栈及车载操作系统的安全加固。攻击面不仅限于蓝牙,还包括Wi-Fi、移动通信等多种无线接口,以及OTA(空中下载)升级功能的安全验证。 车主方面,建议务必在授权的蓝牙设备配对时保持警惕,确认配对码是否匹配,避免随意接受未知设备连接请求。定期关注车辆厂商发布的固件升级通知,并按时完成安装,才能有效缓解此类漏洞风险。此外,避免在车辆附近使用不明无线设备,减少被旁站攻击的概率。
未来,随着自动驾驶、车联网技术的普及,车辆信息娱乐系统与驾驶功能的界限将更为模糊,网络攻击带来的安全威胁将持续增长。各方需要加强协作,推动行业安全规范制定和实施,同时加快安全技术创新,确保智能汽车环境的安全可信。 总体来看,PerfektBlue蓝牙漏洞暴露了汽车智能化带来的新一代安全挑战,也提醒厂商和用户需将网络安全作为车辆设计和使用的重要组成部分。只有多层防护机制得以建立,才能有效防止远程代码执行攻击,保障亿万用户的行车安全和隐私保护。
